Linkedin user data scraping

La CNPD vient d’être informée par son homologue irlandais DPC (Data Protection Commission) d’un échange qu’ils ont eu avec la société LinkedIn en date du 8 avril 2021 concernant des articles de presse indiquant que des données utilisateur de 500 millions de comptes aurait été mis en vente en ligne.

La question de savoir combien de comptes luxembourgeois sont concernés a été transmise à notre homologue irlandais.

La DPC nous informe que la société LinkedIn a commencé ses analyses sur base d’un sous ensemble de données concernant 2 millions de comptes et estime à l’heure actuelle que les données ont été téléchargées via une technique qui s’appelle « scraping ». Le « scraping » est une technique qui consiste dans le fait qu’un ordinateur se fait passer comme un utilisateur légitime d’un service en ligne et consulte de manière automatisée un très grand nombre d’informations pour les copier.

A l’état actuel des analyses il est estimé que les données concernées par cette fuite sont des données qui étaient “publiquement disponibles ” sur le réseau et le cas échéant combinées avec des données en provenance d’autres fuites. LinkedIn estime, sans pour autant pouvoir le confirmer, que les numéros de téléphone inclus dans le set de données parviennent d’une autre source que d’eux.

En attendant de savoir si LinkedIn va procéder à une information individuelle des utilisateurs concernées, l’autorité irlandaise a exigé qu’ils mettent en place un point de contact public pour toutes les questions et réclamations des utilisateurs. Ce point de contact peut être joint sur l’adresse suivante: dpo@linkedin.com. Plus de précisions ont été demandées à LinkedIn et seront attendues en cours de journée d’aujourd’hui par l’autorité irlandaise qui va les partager avec ses homologues.

Vu le grand nombre de comptes impactés, et en attendant des informations plus précises concernant les utilisateurs luxembourgeois la CNPD réitère les recommandations qu’elle avait déjà publiées hier dans le contexte du « Leak Facebook » à savoir :

  • Partez du principe qu’il est plus probable que votre compte est concerné que l’inverse.
  • Vérifiez dans la mesure du possible quelles informations éventuellement sensibles ou intimement liées à votre personne sont publiquement accessibles respectivement l’étaient en 2018.
  • Soyez particulièrement attentif aux potentielles attaques de phishing où un acteur fait référence à ces informations pour vous en demander d’autres et en particulier des mots de passe, numéros de téléphone mobile et adresses email.
  • Ne suivez pas de lien externe pour vous connecter sur votre compte– naviguez-vous même vers le site pour vous connecter.
  • N’hésitez pas à contacter directement le service de LinkedIn dès que vous avez le soupçon qu’il y a des activités douteuses sur votre compte.

De manière générale, n’utilisez pas un mot de passe pour votre compte LinkedIn que vous utilisez également pour d’autres service- et en particulier pour votre compte email. Vous trouvez dans notre brochure « Vos données ? Vos droits ! » quelques conseils supplémentaires quant à l’établissement d’un mot de passe sûr.

Dernière mise à jour